修正されたエクスプロイトはMicrosoft Officeマクロを使用してmacOSをハッキングした

macOS 版 Microsoft Office の現在修正された脆弱性により、攻撃者は Mac ユーザーに文書を開かせるだけでハッキングできる可能性があります。

このエクスプロイトは、長年Macのハッキングを専門としてきたJamfのセキュリティエンジニアで、元NSAハッカーのパトリック・ウォードル氏によって開発されました。ウォードル氏は水曜日に開催されたセキュリティカンファレンス「Black Hat 2020」で、この攻撃手法を披露しました。

ウォードル氏がブログで説明しているように、この攻撃はMicrosoft Officeのマクロを悪用する。これはWindowsをハッキングするための古くからの手法だが、Macを標的としたマクロ攻撃は「人気が高まっており、かなり流行している」とウォードル氏は書いている。

マクロ（基本的にはファイルに埋め込まれた小さなプログラム）を利用することは、攻撃手法の一部に過ぎません。実際にエクスプロイトを動作させるために、ウォードル氏は他の複数の脆弱性を巧みに組み合わせる必要がありました。

Wardle氏は古い.slk形式のファイルを作成することで、ユーザーに警告することなくOfficeマクロを実行させることができました。ファイル名の先頭に「$」文字を追加することで、Wardle氏はmacOSサンドボックスを回避できました。さらに、Wardle氏はファイルを.zip形式に圧縮しましたが、macOSは認証要件を満たしていないため、.zip形式はチェックされませんでした。

この攻撃は複雑ですが、攻撃者の思考回路について良い点を示しています。Wardle氏は複数の脆弱性と手法を悪用することで、ユーザーがWord文書をダブルクリックするだけで攻撃を仕掛けられるエクスプロイトを作成することに成功しました。

ウォードル氏は、ユーザーは依然としてログインしていくつかの操作を認証する必要があると指摘する。しかし、ユーザーが認証してしまうと、攻撃者がバックドアやその他の悪意のあるファイルをインストールし、さらなる攻撃の扉を開いてしまう可能性がある。

Macユーザーにとって幸いなことに、Wardle氏が悪用した脆弱性は、Mac版Officeの最新バージョンとmacOS 10.15.3で修正されました。しかし、マクロベースの攻撃が増加しているため、今後同様の脆弱性が明らかになる可能性は高いでしょう。

ウォードル氏はマイクロソフトとアップルの両社にこの欠陥について警告したが、アップルは同氏の報告に反応しなかったとマザーボードに語った。

Appleは2019年にmacOSのバグ報奨金プログラムを開始したが、ウォードル氏はマザーボードに対し、自身が発見した脆弱性やエクスプロイトに対して同社から金銭を受け取ったことは一度もないと語った。